OWASP Ankara

Webinar
Zed Attack Proxy (ZAP)
Alper Başaran
basaranalper@gmail.com

OWASP Ankara | basaranalper@gmail.com

5N1K OWASP Ankara

• OWASP yazılım güvenliği konusunda çalışan kar amacı gütmeyen bir

kuruluştur
• Sızma testi/danışmanlık yapıyorum
• Ürün/marka konuşmayacağız
• Sunumu paylaşacağım
• Kayıt ediyoruz, paylaşacağım
• Bana ulaşmak için: basaranalper@gmail.com

OWASP Ankara | basaranalper@gmail.com

Konularımız OWASP Ankara

• Web uygulaması sızma testi süreci

• OWASP sızma testi rehberi
• Web uygulaması sızma testi kontrol listesi
• OWASP Zed Attack Proxy (ZAP)
• ZAP ile keşif çalışmaları
• ZAP ile pasif tarama
• ZAP ile aktif zafiyet taraması
• Bulguların değerlendirmesi
• OWASP Top 10
• Kurumsal zafiyet yönetimi döngüsü

OWASP Ankara | basaranalper@gmail.com

Web uygulaması sızma testi süreci OWASP Ankara

• PTES:
• Hazırlık çalışmaları
• Bilgi toplama
• Tehdit modelleme
• Zafiyet analizi
• İstismar
• İstismar sonrası
• Raporlama

http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines

OWASP Ankara | basaranalper@gmail.com

OWASP sızma testi rehberi OWASP Ankara

• OWASP tarafından derlenen test rehberi

• 224 sayfa
• https://owasp.org/www-pdf-archive/OTGv4.pdf

OWASP Ankara | basaranalper@gmail.com

OWASP sızma testi rehberi OWASP Ankara

• Bilgi toplama
• Konfigürasyon ve kurulum yönetimi testleri
• Kimlik yönetimi testleri
• Kimlik doğrulama testleri
• Yetki denetimi testleri
• Oturum yönetimi testleri

OWASP Ankara | basaranalper@gmail.com

OWASP sızma testi rehberi OWASP Ankara

• Girdi kontrolü testleri

• Hata yönetimi testleri
• Zayıf kripto kullanımı testleri
• İş mantığı testleri
• İstemci tarafı testleri

OWASP Ankara | basaranalper@gmail.com

Web uygulaması sızma testi kontrol listesi OWASP Ankara

• Test rehberi sayfa 211’den itibaren

OWASP Ankara | basaranalper@gmail.com

OWASP Zed Attack Proxy (ZAP) OWASP Ankara

• Dünyanın en çok kullanılan açık kaynak web uygulama güvenlik

çözümü
• Mart 2020:
• 85.000’den fazla indirme
• Docker imajı 220.000’den fazla çağrıldı
• 1.000.000’dan fazla kez başlatıldı

https://www.zaproxy.org/

OWASP Ankara | basaranalper@gmail.com

ZAP OWASP Ankara

• Konumlandırma

Tarayıcı Uygulama

OWASP Ankara | basaranalper@gmail.com

OWASP Top 10 OWASP Ankara

1. Injection
2. Broken Authentication
3. Sensitive Data Exposure
4. XML External Entities (XXE)
5. Broken Access Control
6. Security Misconfiguration
7. Cross-Site Scripting XSS
8. Insecure Deserialization
9. Using Components with Known Vulnerabilities
10. Insufficient Logging & Monitoring

OWASP Ankara | basaranalper@gmail.com

Bulguların değerlendirmesi OWASP Ankara

OWASP Ankara | basaranalper@gmail.com

Kurumsal zafiyet yönetimi döngüsü OWASP Ankara

OWASP Ankara | basaranalper@gmail.com

Kurumsal zafiyet yönetimi döngüsü OWASP Ankara

Keşif

Ölç Tarama

Gider Analiz

OWASP Ankara | basaranalper@gmail.com

Teşekkür ederim!
Alper Başaran
basaranalper@gmail.com

OWASP Ankara | basaranalper@gmail.com